Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggiornamento di una CA (CLI)
Le procedure seguenti mostrano come aggiornare la configurazione dello stato e della revoca di una CA esistente utilizzando. AWS CLI
Nota
Le modifiche alla configurazione di revoca di una CA non influiscono sui certificati già emessi. Affinché la revoca gestita funzioni, i certificati precedenti devono essere riemessi.
Per aggiornare lo stato della tua CA privata ()AWS CLI
Utilizza il comando update-certificate-authority.
Ciò è utile quando si dispone di una CA esistente con uno stato su DISABLED
cui si desidera impostareACTIVE
. Per iniziare, confermate lo stato iniziale della CA con il seguente comando.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Il risultato è un output simile al seguente.
{
"CertificateAuthority": {
"Arn": "arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:17:40.221000-08:00",
"Type": "ROOT",
"Serial": "serial_number
",
"Status": "DISABLED",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "DOC-EXAMPLE-BUCKET1
"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
Il comando seguente imposta lo stato della CA privata suACTIVE
. Ciò è possibile solo se sulla CA è installato un certificato valido.
$
aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --status "ACTIVE"
Controlla il nuovo stato della CA.
$
aws acm-pca describe-certificate-authority \ --certificate-authority-arn "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" \ --output json
Lo stato ora appare comeACTIVE
.
{
"CertificateAuthority": {
"Arn": "arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
",
"CreatedAt": "2021-03-05T14:24:12.867000-08:00",
"LastStateChangeAt": "2021-03-08T13:23:09.352000-08:00",
"Type": "ROOT",
"Serial": "serial_number
",
"Status": "ACTIVE",
"NotBefore": "2021-03-08T07:46:27-08:00",
"NotAfter": "2022-03-08T08:46:27-08:00",
"CertificateAuthorityConfiguration": {
"KeyAlgorithm": "RSA_2048",
"SigningAlgorithm": "SHA256WITHRSA",
"Subject": {
"Country": "US",
"Organization": "Example Corp",
"OrganizationalUnit": "Sales",
"State": "WA",
"CommonName": "www.example.com",
"Locality": "Seattle"
}
},
"RevocationConfiguration": {
"CrlConfiguration": {
"Enabled": true,
"ExpirationInDays": 7,
"CustomCname": "alternative.example.com",
"S3BucketName": "DOC-EXAMPLE-BUCKET1
"
},
"OcspConfiguration": {
"Enabled": false
}
}
}
}
In alcuni casi, è possibile che sia presente una CA attiva senza alcun meccanismo di revoca configurato. Se si desidera iniziare a utilizzare un elenco di revoca dei certificati (CRL), utilizzare la procedura seguente.
Per aggiungere un CRL a una CA esistente ()AWS CLI
-
Utilizzate il seguente comando per controllare lo stato corrente della CA.
$
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
--output jsonL'output conferma che la CA ha uno stato
ACTIVE
ma non è configurata per utilizzare un CRL.{ "CertificateAuthority": { "Arn": "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number
", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": false } } } } -
Crea e salva un file con un nome tale
revoke_config.txt
da definire i parametri di configurazione CRL.{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":
7
, "S3BucketName": "bucket-name
" } }Nota
Quando si aggiorna una CA di attestazione del dispositivo Matter per abilitare i CRL, è necessario configurarla in modo da omettere l'estensione CDP dai certificati emessi per contribuire alla conformità allo standard Matter corrente. A tale scopo, definisci i parametri di configurazione CRL come illustrato di seguito:
{ "CrlConfiguration":{ "Enabled": true, "ExpirationInDays":
7
, "S3BucketName": "bucket-name
" "CrlDistributionPointExtensionConfiguration":{ "OmitExtension": true } } } -
Utilizzate il update-certificate-authoritycomando e il file di configurazione della revoca per aggiornare la CA.
$
aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --revocation-configuration file://revoke_config.txt
-
Controllate nuovamente lo stato della CA.
$
aws acm-pca describe-certificate-authority --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
--output jsonL'output conferma che CA è ora configurata per utilizzare un CRL.
{ "CertificateAuthority": { "Arn": "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_numbner
", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": true, "ExpirationInDays": 7, "S3BucketName": "DOC-EXAMPLE-BUCKET1
", }, "OcspConfiguration": { "Enabled": false } } } }In alcuni casi, è possibile aggiungere il supporto per la revoca OCSP anziché abilitare un CRL come nella procedura precedente. In tal caso, utilizzare la procedura seguente.
Per aggiungere il supporto OCSP a una CA esistente ()AWS CLI
-
Crea e salva un file con un nome tale
revoke_config.txt
da definire i parametri OCSP.{ "OcspConfiguration":{ "Enabled":true } }
-
Utilizza il update-certificate-authoritycomando e il file di configurazione della revoca per aggiornare la CA.
$
aws acm-pca update-certificate-authority \ --certificate-authority-arn arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --revocation-configuration file://revoke_config.txt
-
Controllate nuovamente lo stato della CA.
$
aws acm-pca describe-certificate-authority --certificate-authority-arnarn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
--output jsonL'output conferma che CA è ora configurata per utilizzare OCSP.
{ "CertificateAuthority": { "Arn": "arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "CreatedAt": "2021-03-08T14:36:26.449000-08:00", "LastStateChangeAt": "2021-03-08T14:50:52.224000-08:00", "Type": "ROOT", "Serial": "serial_number
", "Status": "ACTIVE", "NotBefore": "2021-03-08T13:46:50-08:00", "NotAfter": "2022-03-08T14:46:50-08:00", "CertificateAuthorityConfiguration": { "KeyAlgorithm": "RSA_2048", "SigningAlgorithm": "SHA256WITHRSA", "Subject": { "Country": "US", "Organization": "Example Corp", "OrganizationalUnit": "Sales", "State": "WA", "CommonName": "www.example.com", "Locality": "Seattle" } }, "RevocationConfiguration": { "CrlConfiguration": { "Enabled": false }, "OcspConfiguration": { "Enabled": true } } } }
Nota
È inoltre possibile configurare il supporto CRL e OCSP su una CA.